網路安全人才缺口100萬公司不得不外包安全保障

7月25日訊息，安全漏洞攻擊和資訊保安問題每天都會出現在新聞上，然而比這些攻擊本身更讓人擔心的是，專家們表示，網路安全行業根本沒有足夠的人才來應對這些攻擊。

一份來自網路巨頭思科公司的報告顯示，全球網路安全行業人才缺口達到100萬。而國際資訊系統審計協會（ISACA，Information Systems Audit and Control Association）2015年釋出的報告也顯示，其86%的會員認為網路安全行業人手不足，只有38%的會員認為自己已經準備好了應對複雜的網路攻擊。

ISACA的網路安全諮詢委員會主席，兼安全公司White Ops執行長Eddie Schwartz表示：“我認為人才短缺問題是非常致命的，可以說過去幾年我們在資訊保安領域節節敗退的主要原因之一就是沒有足夠的人才來應對攻擊。”

Schwartz表示，當下網路安全人才緊缺的狀況從新世紀之初就存在。學校和各個行業在資訊保安方面對人們的訓練主要是安裝防火牆、防毒軟體，給系統打補丁。但真正懂得高階安全技術的人少之又少。Schwartz說道：“絕大多數防火牆是不足以低檔複雜技術攻擊的。”

另一種急缺的人才是被稱為“白帽子”的技術人員。他們懂得黑客技術，像真正的黑客一樣，他們利用這些技術來嘗試滲透系統，但不同的是，他們找到漏洞後會報告給公司並著手修復，而不是用於破壞或其它惡意目的。但遺憾的是，安全公司Coalfire副總裁Mike Weber說道：“白帽子不是從學校裡走出來的，沒有哪個學校的專案能夠訓練這樣的人才。”

要想成為一名合格的網路安全人員，一項不得不面對的挑戰是，你不能從學校出來直接進入安全崗位。每名畢業生都需要在科技行業摸爬滾打幾年，獲取相關經驗。只有這樣，你才知道工程師們可能會在哪些方面“抄近路”來讓伺服器儘快上線或在截止日期前釋出應用程式。

Weber談到：“找到安全漏洞的辦法就是去經歷，然後看看你自己會在什麼地方犯錯誤，別人也很可能會在同樣的地方犯錯。這其實是一種逆向工程，而要成功地逆向工程一樣東西，你首先要懂得正向工程。”

為了填補安全專家的短缺，許多行業組織和大學都開始提供白帽子黑客技術的相關課程。被稱為美國最古老私立軍校的佛蒙特州的諾威奇大學（Norwich University）就向研究生提供帶證書的網路安全課程，主要涉及攻擊取證和系統弱點管理。

Rosemarie Pelletier是諾威奇大學資訊保安保障系主任，他說道：“諾威奇大學的滲透測試實驗室就是在多年前應許多大公司的要求建立的。這樣我們就可以在自己的校園裡教授學生們滲透技術了。”該專案的學生中，大多數是想要打磨自己的技巧的網路安全員和從軍隊轉業到民企的人。絕大多數從該轉業畢業的學生都找到了不錯的工作。Pelletier表示：“那些實力過硬的尖子生在畢業後三秒鐘內就被搶走了。”

Offensive Security公司則走了一條實踐為先的道路，他們開發的Kali Linux系統用於手把手教授人們白帽子黑客技術。公司提供訓練的同時，也向通過測試的學員提供證書。他們的測試是實踐操作專案，而不是考試。

公司董事長Jim O’Gorman表示：“我們初級學員的測試是一場24小時的考試。你連線到一個具有數臺計算機的網路，我們設定了幾個任務供你完成。你需要寫一個文件解釋自己的結果，隨後我們會根據事先制定好的評分標準判斷你是否通過了測試。”

然而，即便現在有了網路安全專業畢業的碩士研究生，整個行業的人才短缺狀況依然沒有好轉。在這狀況得到好轉之前，許多公司仍不得不把安全保障的任務外包給技術諮詢人員，或者把整個數字系統交給雲服務商。亞馬遜、谷歌、蘋果和IBM這些巨頭都有自己的網路安全團隊，而他們可以向小公司們提供相關支援，許多小公司其實只是偶爾需要安全專家，但需要的時候卻沒有的話是非常危險。

人才緊缺導致已經建立的網路安全公司很難擴大規模，而需要保障網路安全的中小型公司更是無奈，就像Schwartz說的：“如果你是中小型公司，那麼你現在不可能建立自己的安全團隊，你的唯一出路就是外包。”

====================================分割線================================

本文轉自d1net（轉載）